تأمين الشبكة الداخلية
خطوات لتأمين الشبكة الداخلية:
موضوع أكثر من رائع عن
أمن المعلومات، نُشر فى مجلة لغة العصر عام 2005، ولكنه يصلح لكل زمان ومكان. أعيد
تقديمه اليوم لكم لأهميته مع بعض الأضافات عليه لتناسب الوقت الذى نحن فيه الآن.
لا ضرورة لإضافة مزيد من التقنيات دائماً،
للحصول على مزيد من الأمن، فالالتزام ببعض الإجراءات البسيطة، يمكن أن يلعب الدور
الأكبر في تحسين أمن الشبكة الداخلية.
الأمن مسؤولية جماعية، وقد يشكّل أي زميل لك في العمل
"الحلقة الأضعف". ويعرف هذه الحقيقة، أصحاب القبعات السوداء، أولئك الهكر
(المخترقون السيئون، فيبحثون دائماً عن خطأ من مستخدم، قبل التوجه إلى حيل
تقنية أشد تقدماً.
فهل تقوم بدورك أيها المستخدم في حماية شركتك
وعملك؟ وإذا كنت مشرفاً، هل لديك سياسية أمنية؟ وهل أنت متأكد من تطبيق عناصرها
الحيوية بحذافيرها؟
إليك عدداً من أكثر أخطاء الأمن شيوعاً، والتي يجب أن تقضي عليها.
إليك عدداً من أكثر أخطاء الأمن شيوعاً، والتي يجب أن تقضي عليها.
1 –الحسابات: إن استخدام حسابات للمستخدمين واضحة الاسم، مع كلمات سر ضعيفة. تمثل أبواباً مفتوحة للمخترقين. وأحد السيناريوهات الشائعة لذلك، أن يكون اسم المستخدم هو نفسه كلمة السر للحساب الواحد. وعلى الرغم من أنه يمكن منع استخدام كلمات سر ضعيفة، عبر إعداد مستوى تعقيد كلمات السر المطلوب في نظام التشغيل. إلا أن تحديد طول كلمة السر ليس كافياً. وبينما تحدد كثير من الشركات سياسة أن لا يقل طول كلمة السر عن ثماني حروف، لكنها تتجاهل حقيقة أن كلمة السر تلك، قد تشكل كلمة ذات معنى مؤلفة من ثماني حروف.
يحاول المخترقون استخدام الخيارات البديهية عادة، مثل كلمات السر الافتراضية المعروفة جيداً، وقوائم كلمات السر الشائعة. والوسيلة الأفضل لهزيمة كل ذلك، أن تطبق قواعد قوية لاختيار كلمة السر على نظام التشغيل.
·
استخدم
كلمات السر الطويلة، ثم غيّرها كل شهر أو ثلاثة شهور على أقصى تقدير.
·
أجعل
كلمة السر صعبة التخمين hard to guess
بأن تضمّنها أعدداً، أو حروفاً غير شائعة.
·
اسمح
بثلاث محاولات للدخول فقط، وفي حالة فشل الدخول، أجعل هناك حوالى 15 دقيقة أو
نحوها من إقفال النظام، قبل السماح بمحاولات الدخول مرة أخرى.
·
راقب
محاولات الدخول الفاشلة، وأسعى للبحث عمن قام بها ومن أى جهاز، وأسأل لماذا.
·
لا
تضع قواعد صعبة جداً لكلمات السر. بحيث توقع المستخدمين في مشكلة تذكّر كلمات
السر، مما قد يدفع بعضهم إلى كتابة كلمات السر، وتثبيتها فى اماكن عملهم مما يفقد
كلمة السر الهدف منها أساساً.
·
عطل
الحسابات الأفتراضية التى لا تستخدمها، مثل حساب Guest.
·
غير
اسم المستخدم الأساسى للكمبيوتر أو الشبكه من Administrator، وقم بأعطاؤه اى اسم
اخر.
2 – لسان ثرثار: يشكّل تبادل المعلومات عن البنية التحتية مع أي شخص عبر الهاتف، أو البريد الإلكتروني، عملاً خطراً، مهما بدت تلك المعلومات بسيطة. قد يكون الشخص على الطرف الآخر من الهاتف أحد المتجسسين يتظاهر بأنه موظفا في أحد الجهات الحكومية أو الشركات التى تجرى أبحاث.
·
تأكد
من هوية أي متّصل، وكن حذراً من ما تقوله حتى مع الموظفين الحقيقين.
·
لا
شك أن بعض المخادعين أذكياء جداً، انظر مثلاً، إلى هذا الاستبيان الذي يبدو
بريئاً:
المتصل:
"كيف تقيمّ برنامج (س) للمحاسبة إذا سمحت؟"
الموظف
الثرثار: "عفواً، نحن نستخدم نظام (ع) هنا. يؤسفني أنني لا أستطيع مساعدتك"
لكن ألم يساعده فعلاً؟
لقد أعطى للمتصل معلومة عن البرنامج المستخدم فعلا فى الشركة وبناء على هذا يمكن
للمتصل الذى يحاول الأختراق أن يركز مجهوداته لمعرفه طرق أختراق هذا البرنامج فقط.
لقد وفرت عليه نصف المسافة تقريباً.
3 – الأعمال الداخلية: تصمم سياسة الأمن عادة لإبقاء الأشخاص السيئون بعيداً، لكن معظم عمليات اختراق الشركات ترتكب من أشخاص في الداخل، أي من الموظفين، وذلك إما عمداً أو كنوع من الفضول. والمؤكد أن استخدام أحدهم لحسابه الخاص في محاولة الاختراق يشكل نوعاً من الغباء، ولذلك يترك المخترق الداخلي الاماكن المهمة التى يريد أن يتلصص عليها حتى يغيب أحد الموظفين الأخرين فيستخدم حسابه. كي تمنع الدخول غير المصرح به إلى الحسابات، أو إلى البيانات المهمة على الأقراص الصلبة:
·
ضع
على جميع الأجهزة برامج حفظ شاشة محمية بكلمات سر، تعمل تلقائياً بعد عشر دقائق من
عدم استخدام النظام.
·
إمنع
مشاركة كلمات السر بين الموظفين، يجب ان يكون لكل موظف كلمة السر الخاصه به حتى
وإن كان يتشارك فى جهاز واحد مع أكثر من زميل.
·
عطل
حسابات المستخدمين فى حالة حصولهم على إجازات طويلة، حتى لا يستخدمها أحد سيئ
النية أثناء فترة غياب هذا الموظف.
·
كلمات
السر الأبتدائية التى تعطى للموظفين الجدد، يجب أن تكون مختلفة فى كل مرة.
·
إذا
اتصل بك أحد الموظفين يخبرك بانه لا يستطيع الدخول على حسابه لأنه قد نسى كلمة
السر الخاصه به، فيكون الحل ان تعطيه كلمة سر جديدة. ولكن هل انت متاكد ان الذى
يتصل بك هو صاحب أسم المستخدم هذا فعلا؟.
لا تستجب لطلبات تغيير
كلمة السر عبر الهاتف، واجعل هذه الطلبات مكتوبه وموثقة قدر الأمكان.
راجع الحسابات غير المستخدمة
كل 3 شهور، وتأكد من ان حسابات الموظفين اللذين تركوا العمل قد تم ألغاؤها أو
تعطيلها.
--------------------------------------------------------------
ليست هناك تعليقات:
إرسال تعليق